Comentarios para Security et alii

Comentario en DB2 SQL injection cheat sheet por DB2 SQL injection cheat sheet « Security et alii

DB2 SQL injection cheat sheet « Security et alii — Mon, 21 May 2012 18:08:03 +0000

[...] Note: There is an English version of this post here. [...]

Comentario en Un 10 para OWASP ZAP (apología del software libre) por miguel

miguel — Tue, 15 May 2012 12:28:26 +0000

gran aporte al proyecto (y también pequeño gran fail el bug!

Comentario en Un 10 para OWASP ZAP (apología del software libre) por Adrián

Adrián — Sun, 13 May 2012 17:58:32 +0000

Hola TuLKass, échale un vistazo a ZAP porque vale la pena. Es un proyecto muy activo que va a ser referencia en el pentesting web en poco tiempo.
Un placer que sigas por aquí.

Comentario en Un 10 para OWASP ZAP (apología del software libre) por TuLKAss

TuLKAss — Sun, 13 May 2012 12:35:58 +0000

Hola la verdad es que no conocía OWASP ZAP, tendré que echarle un vistazo.
Me alegra ver que el blog vuelve a estar más activo solía visitarlo frecuentemente desde que empezaste en el 2010, y la verdad es que los tutoriales de exploitation basics y linux cracking series me sirvieron bastante de ayuda cuando empece a interesarme por la seguridad.
ánimo y sigue así.
Un saludo !!

Comentario en SQLol y XMLmao: Web hacking Testbeds por Adrián

Adrián — Wed, 09 May 2012 08:18:04 +0000

Hi Daniel,

Thank you for your comment. XMLmao has been very useful to teach XPath Injection to my workmates, thanks. I think you should request the inclusion of XMLmao and SQLol into the WebApp Dojo as another training environment.

By the way, I’m using this email to tell you that there is a little problem with the app when you try to use the hex representation of some chars (as in %00) during a challenge. If you fill the textbox with ‘%00 for example, and click on the “Inject!” button, the app takes you to the main screen, where you should see the injection outcome. However, XMLmao is URL-encoding % sign, so as you can see in the second picture the ‘%00 injection payload becomes ‘%2500 and therefore the attack fails. What the user can do, is change the URL manually replacing %2500 by %00 and the attack will then succeed, but there might be a better solution.

Image1: http://i46.tinypic.com/f1w39d.png Image2: http://i45.tinypic.com/2je6b6s.png

Hope that helps. Thanks!

Comentario en SQLol y XMLmao: Web hacking Testbeds por Daniel Crowley

Daniel Crowley — Wed, 09 May 2012 02:44:25 +0000

I’m happy to see someone getting use out of XMLmao!

Comentario en Advanced XPath Injection por SQLol y XMLmao: Web hacking Testbeds « Security et alii

SQLol y XMLmao: Web hacking Testbeds « Security et alii — Tue, 08 May 2012 18:09:16 +0000

[...] tuve que preparar unas presentaciones sobre XPath Injection (I,II) a modo de formación interna en la empresa, y me puse a buscar entornos en los que se pudieran [...]

Comentario en XPath Injection Primer por SQLol y XMLmao: Web hacking Testbeds « Security et alii

SQLol y XMLmao: Web hacking Testbeds « Security et alii — Tue, 08 May 2012 18:09:12 +0000

[...] tuve que preparar unas presentaciones sobre XPath Injection (I,II) a modo de formación interna en la empresa, y me puse a buscar entornos en los que se pudieran [...]

Comentario en Advanced XPath Injection por XPath Injection Primer « Security et alii

XPath Injection Primer « Security et alii — Tue, 08 May 2012 18:09:12 +0000

[...] Edit: He publicado una segunda parte de este tema aquí. [...]

Comentario en ¿Sueño con ovejas eléctricas? por josh

josh — Mon, 07 May 2012 17:07:10 +0000

ele mayúscula y jota minúscula (Lj)